17370845950

C#中XML数字签名需用System.Security.Cryptography.Xml类配合RSA密钥对，关键步骤包括：构造SignedXml、添加Reference指定范围、应用EnvelopedTransform、ComputeSignature后插入节点；验证时用公钥调用CheckSignature。

在C#中给XML文件添加数字签名，核心是使用System.Security.Cryptography.Xml命名空间中的类（如SignedXml、Reference、XmlDsigEnvelopedSignatureTransform等），配合RSA或DSA密钥对完成签名与验证。关键在于正确构造签名结构、选择签名范围、指定引用URI和转换方式，并将签名写入XML文档的节点中。

准备签名用的非对称密钥对

XML数字签名必须使用非对称加密算法（推荐RSA）。你可以生成新密钥，也可加载已有的密钥容器或PFX证书：

• 生成临时RSA密钥（适合测试）：RSA rsa = RSA.Create();
• 从PFX文件加载带私钥的证书：X509Certificate2 cert = new X509Certifica

  

  te2("cert.pfx", "password"); RSA rsa = cert.GetRSAPrivateKey();
• 注意：签名需私钥，验证需公钥（可从证书或rsa.ExportParameters(false)获取）

构建并配置SignedXml对象

创建SignedXml实例后，需绑定XML文档、设置签名密钥，并明确签名目标（即要签名的XML片段）：

• 用new SignedXml(xmlDoc)关联DOM文档
• 调用signedXml.SigningKey = rsa;注入私钥
• 添加Reference指定签名范围：空URI（""）表示整个文档；带ID的URI（如"#invoice1"）需确保目标元素有id="invoice1"且ID属性被声明为xml:id或通过XmlDsigElementIdAttribute注册
• 为Reference添加XmlDsigEnvelopedSignatureTransform，确保签名不包含自身（防循环引用）

计算签名并插入到XML中

调用ComputeSignature()生成签名值、密钥信息和引用摘要，再用GetXml()获取签名节点，最后将其追加到原始XML文档中：

• signedXml.ComputeSignature(); —— 执行哈希、加密、组装签名结构
• XmlElement signatureNode = signedXml.GetXml(); —— 获取标准...元素
• xmlDoc.DocumentElement.AppendChild(xmlDoc.ImportNode(signatureNode, true)); —— 插入签名（注意深拷贝）
• 保存时用xmlDoc.Save("signed.xml")，确保输出含签名且格式规范

验证签名是否有效

验证时只需公钥（甚至可仅用证书公钥部分），流程与签名类似但方向相反：

• 加载XML文档，定位节点
• 创建SignedXml docToVerify = new SignedXml(xmlDoc);，调用docToVerify.LoadXml(signatureNode);
• 设置公钥：docToVerify.CheckSignature(rsaPublicKey) 或 docToVerify.CheckSignature(cert)
• 返回true表示签名有效、内容未被篡改、密钥匹配

不复杂但容易忽略细节：ID属性必须可被XPath识别、转换器要匹配签名场景（如Enveloped用于签名嵌在原文中）、时间戳和证书链验证需额外处理。生产环境建议结合X509Certificate2和可信CA证书提升信任等级。